Blog

Jun 10, 2023

Des vulnérabilités critiques exposent le système de gestion du stationnement aux attaques de pirates

Près d'une dizaine de vulnérabilités ont été découvertes dans une gestion de parking

Près d'une douzaine de vulnérabilités ont été découvertes dans un système de gestion de parking de la société italienne Carlo Gavazzi, qui fabrique des composants de contrôle électronique pour l'automatisation du bâtiment et de l'industrie.

Par

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

E-mail

Près d'une douzaine de vulnérabilités ont été découvertes dans un système de gestion de parking de la société italienne Carlo Gavazzi, qui fabrique des composants de contrôle électronique pour l'automatisation du bâtiment et de l'industrie.

Les failles ont été découvertes par des chercheurs de la société de cybersécurité industrielle Claroty dans le serveur de parking CPY de Carlo Gavazzi et les produits de passerelle et de contrôleur de surveillance UWP 3.0. Le fournisseur a publié des correctifs pour les produits concernés plus tôt cette année.

La société allemande [email protected], qui coordonne la divulgation des vulnérabilités affectant les produits du système de contrôle industriel (ICS) et de la technologie opérationnelle (OT) des fournisseurs européens, a publié un avis décrivant les problèmes de Carlo Gavazzi. L'avis de [email protected] décrit 11 vulnérabilités et l'agence avertit qu'un attaquant pourrait les exploiter pour "obtenir un accès complet aux appareils concernés".

Vera Mens, la chercheuse en sécurité de Claroty créditée par [email protected] pour avoir signalé les vulnérabilités, a déclaré à SecurityWeek que le produit UWP concerné est une application Web conçue pour gérer à distance les systèmes d'automatisation des bâtiments, de gestion de l'énergie et de guidage des parkings, qui fournissent aux conducteurs des informations sur la disponibilité des places de stationnement dans les parkings.

"La passerelle de surveillance UWP est un appareil polyvalent capable d'exécuter une variété de serveurs de surveillance, chacun destiné à un objectif différent", a expliqué Mens. "Par exemple, le serveur de parking CPY est une fonction de l'appareil UWP 3.0 dédié à la surveillance et au contrôle d'autres appareils dans un parking qui gardent une trace des places de stationnement disponibles. Dans cet exemple, il y a des capteurs dans chaque place de parking qui détectent si une voiture est là. Les capteurs font rapport au serveur de parking CPY qui agrège les données, fournit des analyses (par exemple, la capacité au fil du temps) et orchestre l'ensemble de l'opération. "

Ces produits se sont avérés affectés par des vulnérabilités critiques liées aux informations d'identification codées en dur, à l'injection SQL, à l'authentification manquante, à la validation incorrecte des entrées et aux traversées de chemin, ainsi qu'à plusieurs problèmes très graves. Ces failles de sécurité peuvent être exploitées pour contourner l'authentification, obtenir des informations et exécuter des commandes, permettant à un attaquant de prendre le contrôle total du système ciblé.

Heureusement, Mens a déclaré que Claroty n'était au courant d'aucun appareil UWP exposé sur Internet, ce qui signifie qu'un attaquant devrait accéder au réseau ciblé pour exploiter les vulnérabilités.

Cependant, un attaquant qui peut accéder au réseau ciblé pourrait exploiter les vulnérabilités pour mener diverses activités.

"Les vulnérabilités sont exploitables et peuvent conduire à divers scénarios d'attaque, notamment l'exploitation du dispositif de surveillance et la simulation de données de surveillance, le contrôle des dispositifs imbriqués tels que les télécommandes et les capteurs afin de perturber un processus physique, et plus encore", a expliqué Mens.

Le chercheur a déclaré que le fournisseur avait rapidement corrigé toutes les vulnérabilités. Selon [email protected], UWP3.0 version 8.5.0.3 et plus récente et CPY Car Park Server version 2.8.3 et plus récente corrigent les failles. L'agence de cybersécurité a également partagé quelques recommandations générales pour prévenir ces types d'attaques.

En relation: De nouvelles vulnérabilités permettent des attaques de type Stuxnet contre les automates Rockwell

En relation: Vulnérabilités critiques trouvées dans le produit AUVESY utilisé par les grandes entreprises industrielles

Connexes : 1 000 organisations exposées à des attaques à distance par les vulnérabilités de FileWave MDM

Eduard Kovacs (@EduardKovacs) est rédacteur en chef de SecurityWeek. Il a travaillé comme professeur d'informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité de Softpedia. Eduard est titulaire d'un baccalauréat en informatique industrielle et d'une maîtrise en techniques informatiques appliquées au génie électrique.

Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des articles perspicaces d'experts du secteur.

Le sommet sur la détection des menaces et la réponse aux incidents de SecurityWeek rassemble des professionnels de la sécurité du monde entier pour partager des histoires de guerre sur les violations, les attaques APT et les renseignements sur les menaces.

Le forum CISO de Securityweek abordera les problèmes et les défis qui sont au cœur des préoccupations des leaders de la sécurité d'aujourd'hui et à quoi ressemblera l'avenir en tant que principaux défenseurs de l'entreprise.

Si nous devions faire face à un avenir d'IA sans issue, l'industrie de la cybersécurité continuera de s'appuyer fortement sur les approches traditionnelles, en particulier celles axées sur l'homme. Ce ne sera pas tout à fait comme d'habitude.(Oliver Rochford)

Lorsque les équipes ont un moyen de briser les silos d'entreprise et de voir et de comprendre ce qui se passe, elles peuvent améliorer la protection dans leur environnement de plus en plus dispersé et diversifié. (Matt Wilson)

Quel que soit le cas d'utilisation sur lequel votre organisation de sécurité se concentre, vous perdrez probablement du temps et des ressources et prendrez de mauvaises décisions si vous ne commencez pas par comprendre votre environnement de menaces. (Marc Solomon)

Les cadres et les directives standard de l'industrie amènent souvent les organisations à croire que le déploiement de plus de solutions de sécurité se traduira par une meilleure protection contre les menaces. (Torsten George)

Avec des mesures proactives pour passer à Zero Trust, les leaders technologiques peuvent tirer parti d'une idée ancienne, mais nouvelle, qui doit devenir la norme de sécurité. (Marie Hattar)

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

E-mail

Moins d'une semaine après avoir annoncé qu'il suspendrait le service indéfiniment en raison d'un conflit avec un chercheur en sécurité (à l'époque) anonyme...

OpenAI a confirmé une violation de données ChatGPT le même jour qu'une entreprise de sécurité a signalé avoir vu l'utilisation d'un composant affecté par un...

La menace de la chaîne d'approvisionnement est directement liée à la gestion de la surface d'attaque, mais la chaîne d'approvisionnement doit être connue et comprise avant de pouvoir être...

La dernière mise à jour de Chrome apporte des correctifs pour huit vulnérabilités, dont sept signalées par des chercheurs externes.

Patch Tuesday : Microsoft avertit que la vulnérabilité (CVE-2023-23397) pourrait conduire à une exploitation avant qu'un e-mail ne soit affiché dans le volet de prévisualisation.

Apple a publié des mises à jour pour macOS, iOS et Safari et elles incluent toutes un correctif WebKit pour une vulnérabilité zero-day suivie comme CVE-2023-23529.

Un groupe de sept chercheurs en sécurité a découvert de nombreuses vulnérabilités dans les véhicules de 16 constructeurs automobiles, y compris des bugs qui leur permettaient de contrôler la voiture...

Une vulnérabilité affectant les caméras et les enregistreurs vidéo Dahua peut être exploitée par des pirates pour modifier l'heure système d'un appareil.